Adware Generic2.ZHX?.... (SOLUCIONADO)

Cezkar III · Mensaje por **Cezkar III** » 16 Jul 2008, 15:26

Hola,

Resulta que al terminar de instalar las actualizaciones de GameSpy, que lo habia conocido a traves de "Halo", el nuevo AVG 8.0,

Se Me aparece de la nada y me muestra que el siguiente enlace esta infectado...

[color=#4000FF]C:\Archivos de programa\GameSpy Arcade\GSAPak.exe[/color]

Con este virus-Adware... Adware Generic2.ZHX,

Cuando ni si quiese el Nod32 ni BitDefender lo detectaron y los dos estan a tiempo "real" al igual que el avg,

Quisiese saber si tendria que eliminar el archivo que esta en la boveda o restaurarlo y sufrir cada tanto, un aviso de dicha infección, cuando ni los otros anti-virus lo detectan...

Además quise buscar en la boveda de ambos y solo aye los tres anteriores que "atacaron" mi ordenador en el Nod...

C:\WINDOWS\Temp\~os6C4.tmp\rlvknlg.exe ///Probablemente una variante modificada de (Troyano) Win32/Genetik///Puesto en cuarentena aplicación c:\temp\rkinstaller.exe///

------------------------------------

http://85.255.118.253/e-select-080618.php?d=19&trk=07011825473158183&s=mdc ///Probablemente una variante modificada de (Troyano) Win32/TrojanDownloader.Agent.NXY////DESKTOP\Administrador ///

------------------------------------

http://rs36gc.rapidshare.com/files/23897836/8011222/patcher.exe ///Probablemente una variante modificada de aplicación Win32/Hoax.Agent/// DESKTOP\Administrador///

Todos los archivos fueron eliminados...

Aplicaciones .exe movidos...

................

Si alguen me ayudase respecto al tema se los agradeceria... gracias.

Mensaje por **msc hotline sat** » 16 Jul 2008, 15:55

Es habitual la deteccion de falsos positivos con los antivirus, pasa en las mejores familias :wink: , como por ejemplo pasa al examinar el ELISTARA con algunos, pero tienes el VirusTotal que examina el fichero que quieras con 33 antivirus actualizados, y ello es un buen indice para, en funcion del numero de los antivirus que lo detecten y como lo detecten, considerar dicha deteccion como posible falso positivo.

Sube este fichero al VirusTotal, www.virustotal.com/es y posteanos el resultado, o ya opina en consecuencia.

saludos

ms, 16-07-2008

Cezkar III · Mensaje por **Cezkar III** » 16 Jul 2008, 16:23

Hola,

Hice lo que me dijiste y se me aparece lo siguiente...

[color=#BF4040]0 bytes size received / Se ha recibido un archivo vacio[/color]

Si se puede ver nomas el link..

http://www.virustotal.com/vt/es/recepcion?87a24f558057c8da9a6f426b5b7e0810

pero nada mas.

Restaure el archivo y ya es la quinta, no espera.... la sexta vez que me esta avisando sobre archivo potencialmente indeseado... y despues de envirlo a esa web, lo mande nuevamente a la boveda.

Mensaje por **msc hotline sat** » 16 Jul 2008, 16:30

A ver, si te lo está detectando el antivirus, logicamente no te lo deja enviar...

DESACTIVA EL ANTIVIRUS PARA SUBIR EL FICHERO A VIRUSTOTAL !!!

Y por cierto, veo que dices "~~[b]~~[i]Cuando ni si quiese el Nod32 ni BitDefender lo detectaron y los dos estan a tiempo "real" al igual que el avg,"[/i][/b]" ... recuerda que no deben coexistir instalados en un PC dos antivirus, y menos tres, claro !

saludos

ms, 16-07-2008

Cezkar III · Mensaje por **Cezkar III** » 16 Jul 2008, 16:38

Ya estoy desinstalando el Bitdefender, ya que me queda solo 3 dias de prueba....

Pos cierto, ya me trajieron para instalar ambos antivirus... osea, tenia el Nod32, pero tenia oculto la instalacion del AVG...

lo desactivo entonces.... esperate...

Mensaje por **msc hotline sat** » 16 Jul 2008, 16:40

No, no, desactivar el que tengas habitualmente como residente y los demas DESINSTALARLOS !!!

saludos

ms, 16-07-2008

Cezkar III · Mensaje por **Cezkar III** » 16 Jul 2008, 16:47

Hola,

Bueno ya con lo que veo me asusto,

Resulta que "ELISTARA", encontro otras dos infecciones que las elimino...

CLASSIC.DLL --> FraudTool.Agent.D

PORTRAITLOADER.DLL ---> GameSpyArcade

Ademas se me aparece...

~~[b]~~7567[/b] Cadenas Víricas...

Y gracias por aclararme lo del otro topic...

Mensaje por **msc hotline sat** » 16 Jul 2008, 16:50

Pues bien que te ha ido detectar y eliminar estos dos troyanos !

Y lo de 7567 Cadenas Víricas son los strings de deteccion que integra, con los que detecta mucuhoas mas miles de variantes y sospechosos de los que pide muestra para analizar.

Pero veo que el CMDOW.EXE que tienes no lo ha detectado, envianoslo para analizar y pasar a controlarlo:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 16-07-2008

NOTA : Pero deberias haber posteado todo el contenido del c:\infosat.txt como indicamos, ya que son versiones de evaluacion, y en ello consiste que las puedas probar en este foro...) ms.

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

Cezkar III · Mensaje por **Cezkar III** » 16 Jul 2008, 17:04

Hola,

Aver, he desinstalado ambos antivirus y e desactivado el Nod...

Recien termino, asi que lo volvere a activar...

Tratare de resumírtelo...

Unidad a analizar: C

Estadísticas:

Nº total de Directorios: 5546.

Nº total de Ficheros: 47238.

Nº de ficheros analizados: 11951.

Nº de ficheros Infectados: 3.

Nº de ficheros Eliminados: 3.

Tiempo Transcurrido (seg.): 1186.

7567 Cadenas Víricas.

CLASSIC.DLL -> FraudTool.Agent.D

PORTRAITLOADER.DLL -> GameSpyArcade

CMDOW.EXE -> Tool-HideWindow

v: Eliminar Ficheros Automaticamente

Ahora mis dudas son:

Como hago para analizar esas cadenas?

El CMDOW no es un componente importante?

y

Porque el Nod, no lo ha revelado?

Saludos.

P/D:

Esto es lo que hay en ese archivo...

Wed Jul 16 11:31:53 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinDir%\PeerNet"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jul 16 11:35:44 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

C:\Archivos de programa\GameSpy Arcade\Services\_common\PORTRAITLOADER.DLL --> Eliminado, GameSpyArcade

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

Nº Total de Directorios: 5546

Nº Total de Ficheros: 47238

Nº de Ficheros Analizados: 11951

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Wed Jul 16 12:05:21 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 130

Nº Total de Ficheros: 5227

Nº de Ficheros Analizados: 84

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 16 Jul 2008, 17:14

Vale, pues ahora olvidate del ELISTARA y de las cadenas que usa para la deteccion de malwares, y sube el fichero de marras al VIRUSTOTAL y posteanos el resultado, que es lo que no habias podido hacer por tener algun antivirus residente.

saludos

ms, 16-07-2008

Cezkar III · Mensaje por **Cezkar III** » 16 Jul 2008, 17:27

Bueno este es el único archivo que aun falta...

Este es el informe de VirusTotal....

https://www.virustotal.com/es//analisis/eee0850c28c8c2d60b204e98601cf3ea

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.7.16.0 2008.07.16 -

AntiVir 7.8.0.68 2008.07.16 -

Authentium 5.1.0.4 2008.07.15 -

Avast 4.8.1195.0 2008.07.16 -

AVG 7.5.0.516 2008.07.16 Adware Generic2.ZHX

BitDefender 7.2 2008.07.16 -

CAT-QuickHeal 9.50 2008.07.16 -

ClamAV 0.93.1 2008.07.16 -

DrWeb 4.44.0.09170 2008.07.16 -

eSafe 7.0.17.0 2008.07.16 -

eTrust-Vet 31.6.5958 2008.07.16 -

Ewido 4.0 2008.07.16 -

F-Prot 4.4.4.56 2008.07.15 -

F-Secure 7.60.13501.0 2008.07.16 -

Fortinet 3.14.0.0 2008.07.16 Adware/GameSpyArcade

GData 2.0.7306.1023 2008.07.16 -

Ikarus T3.1.1.26.0 2008.07.16 -

Kaspersky 7.0.0.125 2008.07.16 -

McAfee 5339 2008.07.15 potentially unwanted program Adware-GameSpyArcade

Microsoft 1.3704 2008.07.16 -

NOD32v2 3272 2008.07.16 -

Norman 5.80.02 2008.07.16 -

Panda 9.0.0.4 2008.07.16 -

Prevx1 V2 2008.07.16 -

Rising 20.53.22.00 2008.07.16 -

Sophos 4.31.0 2008.07.16 -

Sunbelt 3.1.1536.1 2008.07.15 -

Symantec 10 2008.07.16 -

TheHacker 6.2.96.381 2008.07.16 -

TrendMicro 8.700.0.1004 2008.07.16 -

VBA32 3.12.8.0 2008.07.16 -

VirusBuster 4.5.11.0 2008.07.16 -

Webwasher-Gateway 6.6.2 2008.07.16 -

Información adicional

Tamano archivo: 77824 bytes

MD5...: 681cdef634e9d4f4b0a72a270a49181c

SHA1..: 561eb59a3c61c8c4f328773a62b27fa681794207

SHA256: eced68692fcfec80f50bfbaaa965e09229561727653388823f30188625eacfe5

SHA512: f774afd3b5f6b090bae2b087b2b3b703f975224d97d931d1cfa6550c3234236a

e05a6f18b1764f73e2698c640d75029b0fb54d3b5150e15e95a177ea568cd32c

PEiD..: Armadillo v1.71

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x4094ec

timedatestamp.....: 0x3f2847ef (Wed Jul 30 22:34:23 2003)

machinetype.......: 0x14c (I386)

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x8b80 0x9000 6.39 99e50c4060140d2e901acfcaf9c45b8b

.rdata 0xa000 0x253e 0x3000 4.11 aaafa3e16607794a02ec5376613a0f0c

.data 0xd000 0x1c4c 0x2000 2.40 54066c11193e536e372e95e060f16c8c

.rsrc 0xf000 0x35a8 0x4000 3.64 6ecf77b2ee7c2e017bf20032c5f122cf

( 5 imports )

> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

> MSVCRT.dll: fread, fclose, ftell, strncpy, fseek, fopen, _CxxThrowException, calloc, __dllonexit, _onexit, __1type_info@@UAE@XZ, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, strstr, strchr, strcspn, _isctype, __mb_cur_max, _pctype, free, malloc, _splitpath, _strcmpi, _controlfp, _setmbcp, __CxxFrameHandler, sprintf, _mbscmp

> KERNEL32.dll: CreateProcessA, CloseHandle, GetModuleFileNameA, ReleaseMutex, GetLastError, CreateMutexA, SetFileAttributesA, GetModuleHandleA, GetStartupInfoA, CreateDirectoryA

> USER32.dll: SetForegroundWindow, EnableWindow, LoadIconA, IsIconic, DrawIcon, GetSystemMetrics, GetClientRect, BringWindowToTop, ShowWindow, FindWindowExA, SendMessageA

> GDI32.dll: CreateFontIndirectA, GetObjectA

( 0 exports )

Mensaje por **msc hotline sat** » 16 Jul 2008, 18:31

No has posteado el encabezamiento donde se indica el nombre del fichero, pero se supone que es el informe del GSAPak.exe

Pues ya ves que no es una deteccion significativa, asi que puedes obviarla, si bien si no lo usas, mejor eliminar dicho fichero.

Y con todo lo indicado, damos po solucionado el Tema y procedemos a cerrarlo.

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 16-07-2008

Adware Generic2.ZHX?.... (SOLUCIONADO)

Adware Generic2.ZHX?.... (SOLUCIONADO)

Re: Adware Generic2.ZHX?....

Re: Adware Generic2.ZHX?....

Re: Adware Generic2.ZHX?....

Re: Adware Generic2.ZHX?....

Re: Adware Generic2.ZHX?....

Re: Adware Generic2.ZHX?....

Re: Adware Generic2.ZHX?....

Re: Adware Generic2.ZHX?....

Re: Adware Generic2.ZHX?....

Re: Adware Generic2.ZHX?....

Re: Adware Generic2.ZHX?....